Microsoft recomienda dejar de usar la autentificación multifactor por SMS y en llamadas para mayor seguridad | Tecnología

Un directivo de Microsoft recomienda varios sistemas de autentificación por multifactor o MFA, por encima de los más comunes que son los SMS o las llamadas telefónicas. 

A la hora de autentificarse ante un servicio y demostrar que somos el propietario legítimo de esa cuenta online existe diferentes sistemas, unos más seguros que otros. Podemos conformarnos con las clásicas contraseñas o reforzar la seguridad de nuestros datos con sistemas de doble autentificación o multifactor como los SMS, los sistemas biométricos o las llaves de seguridad.

Alex Weinert, director de seguridad de identidad en Microsoft aconseja a los usuarios alejarse de los sistemas, en su opinión, más débiles. Para Weinert, los SMS y los MFA basados en llamadas son «los menos seguros de los métodos MFA disponibles en la actualidad«, explica en su blog sobre seguridad

El objetivo de los mecanismos de protección MFA es crear una defensa por capas y dificultar el acceso a personas no autorizadas. Se construye un bunker virtual en el cual hay que pasar varias pruebas para acceder a cada una de sus puertas. Su uno de los factores se ve comprometido, el atacante todavía  tiene al menos una barrera más que debe superar para poder acceder a nuestra cuenta y datos personales. 


El phishing es una de las técnicas más usadas por los ciberdelincuentes para hacerse con las credenciales de usuario. Te mostramos algunos trucos que usa el phishing para engañar a los usuarios y robarles sus datos personales al hacerles creer que se encuentran en una página legítima. 

La autentificación multifactor combina dos o más credenciales independientes: los que conoce el usuarios, es decir, la contraseña; lo que tiene el usuario que podría ser un token de seguridad; y lo que es ese usuario, los sistemas biométricos como la huella o su cara. 

Para Weinert, tanto los SMS como las llamadas de voz se transmiten en texto sin cifrar y pueden ser fácilmente interceptados por atacantes. Los códigos por SMS también pueden convertirse en trampas de phishing con herramientas de código abierto que circulan por la red. 

Las redes telefónicas pueden dar problemas de rendimiento o, como ya os hemos explicado en con anterioridad, podemos ser víctimas de una ataque de SIM Swapping y perder nuestra tarjeta SIM pr la cual tenemos control de esos SMS y llamadas. 

Para el ejecutivo de Microsoft existe sistemas más fuertes por los que deberíamos apostar antes que en estos métodos. En una publicación anterior Weinert calificó las llaves de seguridad por hardware como el sistema más seguro de MFA. Estás llaves deben ir siempre con nosotros como las llaves de casa y usan una clave criptográfica única para demostrar a cualquier servicio online que somos nosotros los que queremos acceder a la cuenta y no un extraño.

En su nuevo blog, Weinert también propone el uso de la autenticación basada en aplicaciones como la aplicación Microsoft Authenticator. Esta aplicación utiliza comunicación encriptada, «solo en el último año, agregamos el bloqueo de la aplicación, ocultamos las notificaciones de la pantalla de bloqueo y el historial de inicio de sesión en la aplicación«. 

Según las estadísticas de Microsoft, los usuarios que habilitaron la autenticación multifactor (MFA) fueron capaces de bloquear alrededor del 99,9% de los ataques automatizados contra sus cuentas de Microsoft. 

Deja un comentario